Sicherheitsproblem, User oder Software, Welches ist das grössere Übel? PC

  • Moin

    Ich wollte einmal das Thema Sicherheit und Computer ansprechen weils es mich interessiert.
    In Filmen sieht das ja immer super aus: Der "Hacker" an seinem PC mit einem tollen Interface, er knackt einfach alles innert Sekunden. 8)
    Im RL läuft das wohl etwas anders.

    Meiner Meinung nach ist der User das grösste Sicherheitsrisiko und die meisten "Verbrechen" welche erfolgreich stattfinden basieren auf unachtsamkeit oder nichtwissen der Person vor dem Bildschirm.
    Dabei läuft es meistens darauf hinaus etwas herunterzuladen oder einfach nur das falsche anzuklicken. Egal ob Mailanhang oder sonst was.

    Aber wie real ist der Angriff aus der Ferne auf eine (Privatperson) ohne "Support" durch den lokalen User? (bei Firmen sieht das ganze ggf. wieder anders aus)

    Wie entscheidend ist dabei aktuelle oder veraltete Software?

    Ich bin gespannt auf Eure Meinungen.

    Kodi 18.1 / Aeon Nox Silvo 7.0.1 / Win10 / Logitech K830 + Harmony Companion / Philips 42PFL7008K / Bose Acoustimass 10 Series V / AV520

  • Veraltete Software ist sehr entscheidend. Danach kommen (wenn die User nicht beachtet werden sollen) Dienste nach außen (also geöffnete Ports).

    Letztens z.b. wurde RDP (Windows Fernsteuerung) massenweise ausgenutzt.

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

  • Veraltete Software ist sehr entscheidend.

    Nicht das was ich hören wollte ;) OK, ich werde wohl umdenken müssen.

    Letztens z.b. wurde RDP (Windows Fernsteuerung) massenweise ausgenutzt.

    Und was wurde konkret gemacht? Spyware installiert?

    Kodi 18.1 / Aeon Nox Silvo 7.0.1 / Win10 / Logitech K830 + Harmony Companion / Philips 42PFL7008K / Bose Acoustimass 10 Series V / AV520

  • Windows Patch Days sind zb. ein gutes Beispiel. Sobald MS die Patchnotes freigibt wird das ausgenutzt. Dadurch weiss man halt wo es Lücken gab und viele sehen Windows Updates eher als Plage und schieben das immer auf. Das gibt viel Angriffsfläche

    Wir haben hier bei uns in der Firma die klassischen Update Tage die man über den WSUS eingerichtet hat abgeschafft und lassen direkt installieren wenn es was gibt. Früher liefen die nur einmal in der Woche immer Freitags zur Mittagszeit.

    Nvidia Shield TV Pro
    Server: Intel Core i5-11400 CPU @ Gigabyte H510M S2H V3 Intel H470 | 3x 8TB, 4x6TB, 2x1TB Cachepool | 2x16GB DDR4-3200 | unRAID 6.12.13 | Emby | Unifi | Teamspeak | Swag | DDclient | Heimdall | PiHole | Vaultwarden | RustDesk Server

  • Windows Patch Days sind zb. ein gutes Beispiel. Sobald MS die Patchnotes freigibt wird das ausgenutzt. Dadurch weiss man halt wo es Lücken gab und viele sehen Windows Updates eher als Plage und schieben das immer auf. Das gibt viel Angriffsfläche

    Sehr interessant. Danke für die Info. Auch hier, was bedeutet das im praktischen? Was wird versucht?

    Kodi 18.1 / Aeon Nox Silvo 7.0.1 / Win10 / Logitech K830 + Harmony Companion / Philips 42PFL7008K / Bose Acoustimass 10 Series V / AV520

  • Meiner Meinung nach ist der User das grösste Sicherheitsrisiko und die meisten "Verbrechen" welche erfolgreich stattfinden basieren auf unachtsamkeit oder nichtwissen der Person vor dem Bildschirm.
    Dabei läuft es meistens darauf hinaus etwas herunterzuladen oder einfach nur das falsche anzuklicken. Egal ob Mailanhang oder sonst was.

    Beides muss passen, meiner Meinung nach:

    1) User Awareness und Information
    Nutzer müssen möglichst gut Bescheid wissen, was sie tun bzw lieber lassen sollten. Dazu gehört für mich, dass ein Verständnis dafür gegeben sein sollte, dass man sich z. B. im Internet vielerlei Gefährdungen gegenübergestellt sieht. Es gibt viel Gutes im Netz aber eben auch viel Schlechtes... User sollten eine "aufmerksame Skepsis" gegenüber Inhalten/Seiten/Programmen/Apps haben, die nicht ganz legal/"koscher" aussehen und nicht blindlings jede Fehlermeldung mit einem Klick auf "OK" wegklicken oder jede Anforderung auf "Drücke hier und da, um die Bearbeitung zu aktivieren" bestätigen. Ebenso zählt für mich dazu, dass Nutzer wissen, was Rechteverwaltung bedeutet, wofür sie da ist und wie sie funktioniert (und dass man sie nicht der Faulheit halber dadurch aushebeln sollte, indem man alles mit einem Admin-Benutzer erledigt).


    2) Up to Date Software und Virenschutz
    Nicht mehr aktuelle Software kann im Fiasko enden - auch ohne, dass der User etwas "verbotenes" getan hat. Im Worst-Case reicht ein ungepatchter Browser oder nicht aktuell gehaltenes Antivirus-Tool aus, mit dem ein User auf eine legitime Seite surft, um sich mit Schadsoftware zu infizieren. Nämlich dann, wenn jemand diese legitime Seite hacken oder anderweitig dafür missbrauchen konnte um z. B. mit Schadcode infizierte Bilder darzustellen. Auch sind viele ungepatchte Sicherheitslücken mittlerweile so gut (auch mit Proof-of-Concepts!) dokumentiert, dass es ein leichtes ist, sich zielgerichtet auf ein Opfer "einzuschießen" - wenn man den Angriffsvektor mal ausgemacht hat.

    Auch wenn viele sagen, dass man durch Mechanismen wie UAC, Virensoftware, Adblocker, etc. einen soliden Grundschutz hat, kann man die meisten Schutzmechanismen durch Nutzeraktionen leicht aushebeln. Und leider hat in meinen Augen das Überfrachten von vielerlei Software mit kilometerlangen EULAs, Klicki-Bunti-Seiten/Programmen und schlechten UIs mit grottiger Usability nicht wirklich positiv dazu beigetragen, dass man die Nutzer dazu bewegt sich Gedanken zu machen, wann sie auf welche Schaltflächen Klicken - oder eben nicht... Zudem reizt den Menschen einfach ab und zu das "ich kriege hier was für umsonst" des Netzes, sodass es mit entsprechenden Programmier- und Social Engineering Skills (alternativ: Geld) leicht ist, Menschen und Software für meist nicht legale Dinge zu benutzen.

    Viel Text aber das waren mal meine zwei Cent fuffzich zu dem Thema.


    In Filmen sieht das ja immer super aus: Der "Hacker" an seinem PC mit einem tollen Interface, er knackt einfach alles innert Sekunden.
    Im RL läuft das wohl etwas anders.

    Es gibt schon sehr fein gemachte UIs und wenn man den Angriffsvektor bzw. das Szenario kennt, ist das "Knacken" eines Systems tatsächlich oftmals nur noch eine Folge von 2 bis 5 Mausklicks auf einem Remote-Rechner :)

  • Ich stimmte zu, meistens sind die Anwender Schuld, aber nicht immer. Ein Angreifer von Extern muss dich irgendwie erreichen können dafür.

    • Es gibt Drive-By-Angriffe, dabei kann eine Werbeanzeige auf einer seriösen Webseite geschalten sein und die Werbeanzeige versucht dich zu hacken (e.g. Sicherheitslücken im Browser auszunutzen)
    • Router haben offene Ports im Internet und je nach dem was auf diesem Port läuft kann man die Anwendung dahinter angreifen. Bekannt wurde vor einiger Zeit, dass die Wartungsports von vielen Routern offen im Internet zugänglich waren, darüber konnten Angreifer sich Zugriff verschaffen (Zugangsdaten waren hardcoded im Router) und Millionen von Router weltweit übernehmen.

      • Ist der Angreifer erstmal auf dem Router kann er auch problemlos dein Heimnetzwerk nach verwundbaren Geräten mit offenen Ports absuchen (da die von Außerhalb des Heimnetzwerkes i.d.R. nicht erreichbar sind)
      • Er kann MITM Angriffe durchführen
      • DNS Server manipulieren und dich auf seine Fake-Webseiten umleiten
    • Ein Angreifer kann die Server eines Softwareanbieters hacken und den Programmcode/Download/Updateserver manipulieren. Wer die Software vom Hersteller downloadet hat jetzt einen Virus -- oder eben beim Autoupdate der Software.
    • CDNs für JavaScript Bibliotheken übernehmen. Erst vor kurzem gezielt geschehen um Zugangsdaten einer bestimmten Onlinebank abzugreifen.
    • Gezielte CST/CORS Angriffe Webseiten auf denen der Nutzer vielleicht eingeloggt ist

    Das sind sehr häufig vorkommende Szenarien, bei dem der User keine Schuld trägt^^
    HTTPS bringt auch keine absolute Sicherheit durch Downgrade-Attacks. HSTS und HPKP helfen dagegen.

    Mögliche Schutzmaßnahmen sind ein Adblocker und eine Firewall/keine Ports öffnen und halte deine Software aktuell, dir bleibt nichts anderes übrig als hier dem Hersteller zu vertrauen ;)
    Meistens ist Software "digital signiert", darüber kann man prüfen ob jemand manipuliert hat (sofern der Angreifer nicht auch Zugriff auf die Schlüssel dafür erlangt hat).

    Edit: Noch ein paar Sachen geaddet :D

    3 Mal editiert, zuletzt von MrKrabat (17. Juni 2019 um 11:17)

  • Nicht das was ich hören wollte ;) OK, ich werde wohl umdenken müssen.

    Und was wurde konkret gemacht? Spyware installiert?

    Man könnte den gesamten PC übernehmen: https://www.heise.de/security/meldu…rm-4436088.html
    Je nachdem was du machst z.b. Konto leerräumen, Produktion unterbrechen, Daten abfliessen lassen.

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

  • OMG ich zieh den Stecker!

    Also möglichst versuchen alles an Ports zu schliessen was nicht zwingend offen sein muss, regelmässige Backups und hoffen.

    Ich muss ehrlich gestehen es mit den Updates bis dato nicht so "streng" genommen zu haben.
    Bis jetzt ist mir noch nie etwas passiert in die Richtung was ich auch bemerkt hätte.
    (komischer Satz.. Bis jetzt habe ich noch nie etwas bemerkt. Das muss jedoch nicht heissen das nichts passiert ist)

    Onlinebanking (Dongle, ohne Verbindung zum PC) bzw. alles mit Zwei-Faktor-Authentisierung ist aber auch dann relativ sicher?

    Kodi 18.1 / Aeon Nox Silvo 7.0.1 / Win10 / Logitech K830 + Harmony Companion / Philips 42PFL7008K / Bose Acoustimass 10 Series V / AV520

    2 Mal editiert, zuletzt von Cornholio (17. Juni 2019 um 11:04)

  • OMG ich zieh den Stecker!

    Also möglichst versuchen alles an Ports zu schliessen was nicht zwingend offen sein muss, regelmässige Backups und hoffen.

    Ich muss ehrlich gestehen es mit den Updates bis dato nicht so "streng" genommen zu haben.
    Bis jetzt ist mir noch nie etwas passiert in die Richtung was ich auch bemerkt hätte.

    Onlinebanking bzw. alles mit Zwei-Faktor-Authentisierung ist aber auch dann relativ sicher?

    Solange du Online Banking nicht auf dem Smartphone machst UND auf dem Smartphone dein 2FA Code empfängst sollte das sicher sein :whistling:

  • Zwei-Faktor ist auf jeden Fall schon mal eine gute Hürde für das gegenüber. Der muss dann nämlich noch ein weiteres Gerät übernehmen. Häufig werden ja kurze temporäre Codes vom Dongle generiert, das hilft und lässt sich schlecht mittracken für später.
    Vieles geht über den Weg des mitloggens was getippt wird. Hast du als Passwort ein simples Wort was Sinn ergibt lässt es sich später einfacher herauslesen. Ein weiterer Code der nur ein kleines Zeitfenster aktiv ist bringt dem Angrifer nichts und du kannst dich besser fühlen.

    Nvidia Shield TV Pro
    Server: Intel Core i5-11400 CPU @ Gigabyte H510M S2H V3 Intel H470 | 3x 8TB, 4x6TB, 2x1TB Cachepool | 2x16GB DDR4-3200 | unRAID 6.12.13 | Emby | Unifi | Teamspeak | Swag | DDclient | Heimdall | PiHole | Vaultwarden | RustDesk Server

  • Ist gut, wenn das Masterpasswort lang ist. Und dann für jede Seite und jeden Dienst ein individuelles Passwort vergeben

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

  • Ist gut, wenn das Masterpasswort lang ist.

    Und die Software keine (bekannten) Lücken hat, die es ermöglichen an den Passwortspeicher zu gelangen :)


    Und dann für jede Seite und jeden Dienst ein individuelles Passwort vergeben

    Und das kann dann ja auch gerne beliebig komplex bzw. anhand verschiedener Kriterien zufallsgeneriert sein. Wobei es noch immer diverse Service gibt, die einen nicht ein beliebig komplexes Passwort setzen lassen (weil sie z. b. nur maximal 12 Stellen erlauben oder diverse Sonderzeichen nicht funktionieren) *seufz*

  • Wie ist das mit diversen offenen Tasks im Browser oder vorher besuchten Seiten im gleichen Task? Kann da einer der vorher besuchten Seiten mithören?

    Kodi 18.1 / Aeon Nox Silvo 7.0.1 / Win10 / Logitech K830 + Harmony Companion / Philips 42PFL7008K / Bose Acoustimass 10 Series V / AV520

    Einmal editiert, zuletzt von Cornholio (19. Juni 2019 um 19:07)

  • (...) alles mit Zwei-Faktor-Authentisierung ist aber auch dann relativ sicher?

    Das kommt darauf an, wie 2FA implementiert ist. Ich bin vor nicht all zu langer Zeit Opfer eines Phishing-Angriffs geworden und da hat mir 2FA gar nix gebracht weil der Token zum einen ewig lang gültig war (120 Sekunden oder so) und mit einem einzigen Token sämtliche (!) Einstellungen geändert werden konnten.

  • Also meine Rangliste:

    1. Hardware
    2. User bzw alte Software
    3. Passwörter

    Wie will man sich gegen einem Hardware Fehler schützen.... Beispiele: Spectre, Zombieload oder wie alle gewissen....einfaches Workaround: SMT deaktivieren......klar, verschenke Leistung....

    Schaue meistens 2. Die Woche per Ninite (Software Auto Installer/updated) nach ob's was neues gibt - habe als Feedback KODi empfohlen.....

    Was ich aber ganz übel finde: Freeware mit Werbung die mitinstalliert wird..... Toolbar - oje......selbst Chrome Installer installiert gerne Mal was mit (schon gehabt)

    Der Klassiker: Passwörter.....

    Ich kenne tatsächlich einen - sein EC Pin ist 1234!! Ich fragte ihn warum....seine Antwort: die wird eh keiner nehmen von seinen 3 Versuchen.....weil der (Dieb) ja weiss das so eine Pin kein normaler Mensch nehmen würde....logisch oder!

    Meine Frau hat sich vor 4 Wochen was dieses eingehandelt......hab's nur mitbekommen, weil die Telekom mich BRIEFLICH drauf hinwies, das mein Anschluss eine Sperre bekam, weil Schadsoftware verteilt wurde.....

    Was war es? Meine damals 10 jährige bringt Sims 4 - All In One vom Schulhof mit.....hat ein Schulfreund (Oberstufe) ihr samt 64gb Stick für 40€ verkauft......mit Malware......hab's freundlicherweise EA mitgeteilt, wo er wohnt.....samt Polizei ( verkaufte an Schulhöfen Mal so 10-15 spiele am Tag zu ca 15-50€ je nach Art des Spiels......das möchte ich Mal verdienen....

    Die Polizei redete das runter mit kleiner fisch......

    Na ja.....


    Sims 4 habe ich ja gratis bekommen......

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!